可以通过配置证书吊销列表 (CRL) 和增量 CRL 之间的重叠期调整两者之间的关系。当下一个基本或增量 CRL 的发布被延迟,或在计划的发布时间客户端无法获取新的 CRL 或增量 CRL 时,此设置尤为有用。
CRL 的重叠期是已发布 CRL 的生存时间结束时,客户端在旧的 CRL 被视为无法使用之前可用于获取新 CRL 的时间量。该值的默认设置是 CRL 的生存期的 10%。由于某些环境可能需要更长的期间来复制 CRL,可以手动配置此设置。
 | 注意 |
|
CRL 或增量 CRL 重叠期的最大值为 12 小时。 |
基础 CRL 和增量 CRL 最近均已发布时,已吊销的证书可能出现在两种 CRL 中。这是因为复制新的基础 CRL 时,较新的增量 CRL 可能仍然指向较旧的基础 CRL。使证书出现在两种 CRL 中确保吊销信息可用。
您必须是证书颁发机构 (CA) 管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理。
 | 配置 CRL 和增量 CRL 重叠期的步骤 |
在命令提示符下,键入:
certutil -setreg ca\CRLOverlapUnitsValuecertutil -setreg ca\CRLOverlapPeriodUnitscertutil -setreg ca\CRLDeltaOverlapUnitsValuecertutil -setreg ca\DeltaOverlapPeriodUnits打开“证书颁发机构”管理单元。
在控制台树中,单击 CA 的名称。
在“操作”菜单上,指向“所有任务”,单击“停止服务”以停止服务。
在“操作”菜单上,指向“所有任务”,单击“启动服务”以启动服务。
 | 小心 |
|
编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上所有有价值的数据。 |
下表列出了可在此步骤中描述的 Certutil 语法中使用的值。
| 值 | 描述 |
|---|---|
|
Certutil |
指定命令行工具的名称。 |
|
-setreg |
修改注册表。 |
|
ca\CRLOverlapUnits |
指示存储 CRL 重叠设置的值的注册表值。 |
|
ca\CRLDelataOverlapUnits |
指示存储增量 CRL 重叠设置的值的注册表值。 |
|
值 |
提供将此选项设置为的数字值。 |
|
ca\CRLOverlapPeriod |
指示存储 CRL 重叠单位类型设置的值的注册表值。 |
|
ca\DeltaOverlapPeriod |
指示存储增量 CRL 重叠单位类型设置的值的注册表值。 |
|
单位 |
提供重叠期的单位类型。有效值为分钟、小时和天。 |
| 注意 |
|
如果您的环境未配置为颁发增量 CRL,则 CRLDeltaOverlapUnits 和 DeltaOverlapPeriod 的设置将不起作用。 |
其他注意事项
-
若要打开命令提示符,请单击「开始」,指向“所有程序”,单击“附件”,然后单击“命令提示符”。